1.系统为独立流量探针,支持分布式部署,支持外发告警数据、行为数据给分析平台 2.提供B/S架构,采用HTTPS方式管理,无需安装管理客户端支持解析VLAN、VxLAN、ikev2等协议解析和还原,支持IP分片还原; 3.★支持中间流还原,在非完整TCP握手情况下,能够还原会话; 4.支持通过双向会话流数据进行二次分析,判定攻击的结果状态,包括攻击成功、失败、未知; 5.★支持通过域名、URL、IP进行威胁情报检测,本地威胁情报的数据不少于300万条; 6.支持以1-100的分值预置规则的置信度,辅助判定网络攻击的成功情况; 7.★支持多种逻辑子规则策略关系,可通过规则嵌套形成异常规则链;子规则策略之间支持AND、OR、NOT等嵌套语法,并支持对内网IP段进行设置; 8.支持添加自定义检测规则,支持TCP、UDP、HTTP协议。HTTP协议支持对请求方法、请求URI、请求数据、用户代理等HTTP字段进行设置。 9.★支持自定义异常规则链,可自定义添加异常规则链及子规则,启用/禁用相关配置,以提升检出率; 10.支持基于人工智能模型检测各种变种漏洞和未知漏洞攻击行为,如Struts2系列漏洞、SQL注入漏洞、Java反序列化漏洞、CMS类型漏洞等 ******银行卡、密码的关键敏感信息进行识别和界面展示脱敏; 11.★支持敏感数据外发脱敏,包括流量行为日志和告警信息;外发脱敏支持通过Kafka、Syslog等方式发送至省检安全大脑; 12.★支持100万+ DGA库对已知的DGA域名进行检测;支持至少100种木马家族通信指令特征特征检测; 13.支持50+常见加密和非加密Webshell检测,包括但不限于冰蝎、哥斯拉、蚁剑、中国菜刀、小马上传工具等; 14.★支持20种以上APT特种木马家族的通信特征指令检测,包括攻击目标为中国的组织例如美人鱼、验证器、海莲花、摩诃草、蔓灵花、奇幻熊等; 15.提供二进制分析能力和解码工具,支持HEX十六进制展示; 16.★支持至少15种以上僵尸家族的通信指令特征检测; 17.支持40+挖矿家族通信特征的告警行为;支持10+种虚拟货币的识别; 18.★提供渗透攻击实时精准告警能力,并对告警按照网安法进行分类,至少包括40+种二级分类。 |